在 k8s 中提供相同服务的一组 pod 可以抽象成一个 service,通过 service 提供统一的服务对外提供服务,kube-proxy 存在于各个 node 节点上,负责为 service 提供 cluster 内部的服务发现和负载均衡,负责 Pod 的网络代理,它会定时从 etcd 中获取 service 信息来做相应的策略,维护网络规则和四层负载均衡工作 。k8s 中集群内部的负载均衡就是由 kube-proxy 实现的,它是 k8s 中内部的负载均衡器,也是一个分布式代理服务器,可以在每个节点中部署一个,部署的节点越多,提供负载均衡能力的 Kube-proxy 就越多,高可用节点就越多 。
简单点讲就是 k8s 内部的 pod 要访问 service,kube-proxy 会将请求转发到 service 所代表的一个具体 pod,也就是 service 关联的 Pod 。
同理对于外部访问 service 的请求,不论是 Cluster IP+TargetPort 的方式;还是用 Node 节点 IP+NodePort 的方式,都被 Node 节点的 Iptables 规则重定向到 Kube-proxy 监听 Service 服务代理端口 。kube-proxy 接收到 Service 的访问请求后,根据负载策略,转发到后端的 Pod 。
kube-proxy 的路由转发规则是通过其后端的代理模块实现的,其中 kube-proxy 的代理模块目前有四种实现方案,userspace、iptables、ipvs、kernelspace。
userspace 模式userspace 模式在 k8s v1.2 后就已经被淘汰了,userspace 的作用就是在 proxy 的用户空间监听一个端口,所有的 svc 都转到这个端口,然后 proxy 内部应用层对其进行转发 。proxy 会为每一个 svc 随机监听一个端口,并增加一个 iptables 规则 。
从客户端到 ClusterIP:Port 的报文都会通过 iptables 规则被重定向到 Proxy Port,Kube-Proxy 收到报文后,然后分发给对应的 Pod 。
文章插图
userspace 模式下,流量的转发主要是在用户空间下完成的,上面提到了客户端的请求需要借助于 iptables 规则找到对应的 Proxy Port,因为 iptables 是在内核空间,这里就会请求就会有一次从用户态到内核态再返回到用户态的传递过程, 一定程度降低了服务性能 。所以就会认为这种方式会有一定的性能损耗 。
默认情况下,用户空间模式下的 kube-proxy 通过轮转算法选择后端 。
iptables首先来简单了解下 iptables:
iptables 是 Linux 中最常用的一种防火墙工具,除了防火墙它还可以用作 IP 转发和简单的负载均衡功能 。基于 Linux 中的 netfilter 内核模块实现 。Netfilter 在协议中添加了一些钩子,它允许内核模块通过这些钩子注册回调函数,这样经过钩子的所有数据都会被注册在响应钩子上的函数处理,包括修改数据包内容、给数据包打标记或者丢掉数据包等 。iptables 是运行在用户态的一个程序,通过 netlink 和内核的 netfilter 框架打交道,具有足够的灵活性来处理各种常见的数据包操作和过滤需求 。它允许将灵活的规则序列附加到内核的数据包处理管道中的各种钩子上 。
Netfilter 是 Linux 2.4.x 引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的 hook 函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能 。
在 kubernetes v1.2 之后 iptables 成为默认代理模式,这种模式下,kube-proxy 会监视 Kubernetes master 对 Service 对象和 Endpoints 对象的添加和移除 。对每个 Service,它会安装 iptables 规则,从而捕获到达该 Service 的 clusterIP(虚拟 IP)和端口的请求,进而将请求重定向到 Service 的一组 backend 中的某个上面 。因为流量转发都是在内核进行的,所以性能更高更加可靠 。
文章插图
经验总结扩展阅读
- 【算法训练营day4】LeetCode24. 两两交换链表中的结点
- 时空中的绘旅人司岚生日限定礼包有什么内容
- CentOS 8.2 对k8s基础环境配置
- 哪些星座很不会处理恋爱中的问题
- 香兰素在奶粉中的作用
- UML类中的6种关系
- 一斤糖蒜的糖和醋比例
- 空间站怎么提供氧气
- 古代鱼的雅称
- 使用 Kubeadm 部署 K8S安装